WebGUI Probleme und Angriffe auf FreeBSD
-
Hallo hab Probleme bei einer Alpha die WebGUI zum laufen zu bringen, bis vor dem Restart ging diese noch.
Nach Restart, ist ein Zugriff trotz rücksetzen auf den Community Standard nicht möglich.
Es scheint so, als würde jemand permanent die Alpha Versionen von pSense als auch andere absichtlich angreifen um FreeBSD gezielt zu sabotieren.
Die ist leider nicht das erste mal der Fall, die Firewall im Vorfeld hat übrigens merkwürdiger weise einen Gast an Board und jemand versucht permanent root rechte zu bekommen, nun wie kann ich diesen dauerhaft sperren.
Es reicht nicht aus rechte zu setzen und / oder das Kennwort zu ändern dieses ist umgehend wieder gefälscht, wie wenn ein bestimmtes Tool einen Standard Angriff durchführt.
Irgend jemand Versucht mich damit als plem plem darzustellen um einen Standard zu erzwingen, langsam reicht es, es kann nicht sein, das jemand permanent meine System Entern will.
Was muss man noch tun falsche MAC, permanente Änderung der Domain und Host, Signaturen und SIDs gibt es eine Kennung die mir nicht geläufig ist?
Es hat den Anschein, als wolle jemand wegen der Überwachung keine BSD Maschine dazwischen sehen, genau hier stößt der Angreifer jedoch auf Granit, den ohne BSD geht kein System Online.
Cu
plsvw39c
??? -
Im Zusammenhang tritt beim setzen einer IP (selbige wie zuvor), folgende Fehlermeldung auf:
Fatal error: Call to undefined funktion link_int_to_bridge_interface
() in /etc/inc/filter.incmittels vi /etc/inc/filter.inc betrachtet
Einträge ab Zeile 334
if(link_int_to_bridge_interface("lan"))
$lan_aliases . = " " . link_int_to_bridge_interface("lan");if(link_int_to_bridge_interface("wan"))
$wan_aliases . = " " . link_int_to_bridge_interface("wan");Cu
plsvw39c -
So nun noch eine Feststellung,
nach Freigabe einzelner Dienste und Protokolle werden diese zunächst geduldet und merkwürdiger weise nach kurzer online Zeit nicht mehr.z.B. ESP, AH, GRE, PPTP, SSL etc sowie DNS, hat jemand ähnliche Feststellungen?
Meine Feststellung ergab, das sämtliche Verschlüsselungen davon betroffen sind.
Ich grenze den out ein und lösche in der Regel die Standard Rules oder deaktiviere diese.
Cu
plsvw39c -
so also ein Cert das mit der 1.2.3-RC1 erstellt wurde geht bei Manuellem Eintrag.
-
Ich werde die Certs, die mittels Alpha 2 ertsllt werden mal Manuell mit der 1.2.3 testen, die alte Version ALPHA 1.3 scheint noch mittels SSL Certs zu funktionieren.
Als Tipp für die Installation Cert Erzeugung und / oder SSL beim Setup währe von Vorteil, so das die Secure sofort Aktiv ist. Werde mich mal Aktiv daran beteiligen.
Cu
plsvw39c -
Also Einloggen per SSH ausschließlich mit Zertifikat und die WebGUI per Regel ggf nur für Deine IP freigeben. Das sollte schon einmal einiges erschweren.
Bist Du sicher, dass auf Deinem administrierenden PC kein Trojaner/Keyboard logger aktiv ist? Damit wäre es einem Angreifer dann ein Leichtes, sich immer wieder selbst einzuloggen und Regeln zu ändern.
Wozu benutzt Du eigentlich die Alpha Version, und was reicht an dem aktuellen RC nicht für Dich aus? -
Hi
Zum Testen verwende ich im Background die Alpha, vorne hat die mir schon zu viel verhauen, daher hab ich dort noch die 1.2.3-RC1. Und hin und wieder mal eine Alpha oder Beta.
Wenn diese zuvor im Background Funktionierten.setze ich sie auch vorne ein.Cu
plsvw39c -
Hi,
so neben bei ist euch auch aufgefallen, das momentan Angriffe auf Netze durchgeführt werden insbesondere gesplittete?Gerade bei meinem gesplittetem Netz ist mir aufgefallen das jegliches Netz das mittels aufsplitten, welches zuvor tadellos Funktionstüchtig war plötzlich nach kurzer Zeit Probleme macht, ich vermute, das eine Art Kleinspielwaffe diese sabotiert.
Die Feststellung ergab, das hie eine Art Kleinspiel Stattfindet, ist euch so was schon mal unter gekommen?
BSD ist normal eine Waffe gegen solch einen Angriff, aber irgend jemand scheint eine Art General Schlüssel zu besitzen.
Nun ich würde gern mit euch eine Gegenwehr aufbauen und mit euer Hilfe diese Kleinspieler umgehen und /oder fernhalten.
Mein Ziel ist, das jegliche Netze die gesplittet sind im Hintergrund verborgen bleiben und nur durch Tunnel nach außen dürfen und das wenn möglich encrypted, dennoch sollten DNS Anfrage und oder HTTP Verbindungen Funktionieren.
Cu
plsvw39c -
Sorry, aber versteht jemand diese Sprache? Übersetzungstool?
Was ist ein gesplittetes Netz? Splitten kenne ich in diesem Sprachgebrauch nur bei SplitDNS.
Kleinspieler ? -> Rootkit? in pfSense, frischer Install?
General Schlüssel? -> Backdoor? überall, aber kaum auf einem frischen pfSense Image aus offizieller Quelle mit gechecktem md5/sha1
Gast an Bord? dito…
-
Gast an Board? Ja so etwas ist fast zu vermuten, den irgendwie sieht es aus, als hätte umgehend nach der Installation Zugang mit sofortiger Tarnung verschafft. Am Anfang sah es wie Fehler aus, aber das ist Gezielt. Lang schaue ich mir das nicht mehr an, derzeit Logge Ich nahezu alles mit und werde dies nebst einer Platte unabhängig Prüfen lassen. Vorne bleibt auf jeden Fall BSD.
Nach letztem Stand.
Absturz der SSL WEBGUI nach doppelter Änderung der CERTs, auch ein Manuelles ändern der Einstellungen für die WebGUI in der /conf/config.xml ergibt nach dem durchstarten selbiges Problem, obwohl der Dienst auf den Standard Port 80 nebst dem Service auf HTTP zurückgesetzt wurde.
Ich hab gerade eine neue Platte rein, um die letzte analysieren zu lassen.
Da mir dies in letzter Zeit zu häufig vorkommt, das die Platten manipuliert werden und / oder Speicher, habe ich dieses Exemplar ausgebaut um sie analysieren zu lassen.Noch was nebenbei, die Intel und 3Com sowie XirCom Netzwerkkarten scheinen hinter der pfSense nicht vor einem Abschalt und / oder Zerstörungscode sicher zu sein.
Cu
plsvw39c -
@sigi: Das frage ich mich auch gerade. Ich verstehe von den Posts leider auch nur hin und wieder die Hälfte. Das ist alles etwas arg wirr und paranoid.
Noch was nebenbei, die Intel und 3Com sowie XirCom Netzwerkkarten scheinen hinter der pfSense nicht vor einem Abschalt und / oder Zerstörungscode sicher zu sein.
Was in sieben Zirkeln der IT Hölle bringt dich denn zu so einer Aussage?? Und was für ein "Zerstörungscode"? Ich komme mir hier grad irgendwie wie in der Twilight Zone vor…
Und Beta, sowie Alpha-Alpha Versionen im live Betrieb einzusetzen.. also meine Chefs würden mich hängen und vierteilen, wenn ich das ohne verdammt guten Grund vorschlagen würde. -
Wir sollten diesen Thread einfach ignorieren, denn hier scheint jemand wirres Zeug in seiner eigenen Welt zu posten.
Es wird vom Thread-Starter ja nicht einmal auf Antworten eingegangen.Ich würde sagen, dass sich hier ein Tool möglichst viele Posts zur Legitimation verschaffen will, um dann weiteres Unwesen zu treiben.
-
Soweit sich hier nichts mehr "produktives" ergibt, werde ich den thread "locken".
Regards
Heiko
